“모의해킹이랑 레드팀이랑 뭐가 달라요?”라는 질문을 정말 자주 받습니다. 한 문장으로 답하면 이렇습니다 — 모의해킹은 ‘취약점을 최대한 많이 찾는’ 일이고, 레드팀은 ‘정해진 목표를 달성하는’ 일입니다. 그래서 레드팀은 평가의 대상이 시스템 하나가 아니라, 조직의 사람·프로세스·탐지 대응 전체로 넓어집니다.
먼저, 둘의 결을 나눠보면
구분 | 모의해킹 | 레드팀 |
|---|---|---|
목표 | 범위 안 취약점 최대 발견 | 특정 목표 달성(시나리오) |
방식 | 대개 통보·협조 하에 | 탐지를 피하며 은밀하게 |
보는 것 | 시스템의 취약점 | 사람·프로세스·탐지 대응 |
어느 쪽이 더 좋다는 게 아니라, 단계가 다릅니다. 기본 점검과 통제가 어느 정도 갖춰진 조직이 “그래서 실제 공격엔 얼마나 버티나”를 보고 싶을 때 레드팀이 빛을 발합니다.
핵심은 ‘공격’과 ‘탐지’를 나란히 보는 것
레드팀의 진짜 가치는 “뚫었다”가 아니라 “어디서 탐지에 실패했나”에 있습니다. 그래서 저희는 공격 타임라인을, 같은 시간대 블루팀이 무엇을 봤는지와 나란히 놓고 정리합니다. 이렇게요.
시간 공격팀이 한 일 탐지팀이 본 것
──── ───────────────────────────── ──────────────────────
09:12 피싱 메일로 첫 단말 장악 (탐지 못 함)
10:40 C2 비콘 연결·지속성 확보 방화벽 로그엔 남음, 알람 없음
13:05 로컬 → 도메인 권한 상승 (탐지 못 함)
15:30 자격증명 수집·내부 이동 EDR 경고 1건 → 오탐 처리됨 ←★
17:50 목표 데이터에 접근 (탐지 못 함)
──── ───────────────────────────── ──────────────────────
배운 점: 15:30의 경고가 ‘진짜’였습니다. 그 한 건을 살릴 수 있었다면
이야기가 달라졌을 겁니다 — 그 지점이 개선의 출발점입니다.이 표 한 장이 레드팀 보고서의 핵심입니다. ‘뚫린 사실’보다 ‘15:30의 경고를 왜 놓쳤는가’가 훨씬 값진 정보거든요.
공격은 어떻게 이어지나 (ATT&CK 관점)
실제 위협 행위자처럼, 초기 침투(피싱·노출 취약점·유출 자격증명) → 지속성·C2 → 권한 상승 → 내부 정찰(자격증명·신뢰 관계 지도화) → 내부 이동 → 목표 달성으로 움직입니다. 각 단계는 MITRE ATT&CK의 전술에 대응되고, 그 대응표가 곧 “우리는 어느 전술을 탐지하고, 어느 전술을 놓치는가”의 점검표가 됩니다.
한 걸음 더 — 진짜 APT처럼
실제 표적 공격은 잘 만든 방어를 정면으로 뚫기보다, 신뢰받는 ‘부품’을 노립니다. 그래서 저희 레드팀은 외부 노출 컴포넌트·라이브러리의 1-day와, 필요 시 0-day까지 시나리오에 포함합니다. 정찰 단계에서 식별한 컴포넌트의 알려진 취약점이 실제 진입로가 되는지를 통제된 범위에서 확인하는 거죠. 발굴 관점은 0-day는 어떻게 발굴되는가 글과 이어집니다.
현장 노트: 레드팀이 끝나면 저희는 블루팀과 한자리에 앉아 타임라인을 함께 복기합니다(퍼플팀). “여기서 이 로그를 이렇게 봤다면 잡혔겠네요” 하는 대화가, 사실 이 프로젝트에서 가장 값진 순간인 것 같습니다.
자주 묻는 질문
레드팀은 어떤 조직에 맞나요?
기본적인 점검과 통제가 이미 있는 조직이 ‘실제 공격에 대한 대응력’을 확인하고 싶을 때 가장 효과적입니다. 처음이라면 모의해킹부터 권해드릴 때도 많습니다.
탐지 팀에 미리 알리나요?
은밀성을 위해 소수만 인지하는 경우가 많습니다. 다만 범위와 비상 연락 체계는 사전에 분명히 합의합니다.
마치며
레드팀은 취약점이 아니라 ‘대응 역량’을 비춰주는 거울에 가깝습니다. 우리 조직이 실제 공격에 얼마나 빨리 반응하는지 함께 확인해 보고 싶으시면 레드팀 상담으로 편하게 연락 주세요.